Stats
Actions
Tags
Guides structured ransomware incident response from detection and containment to forensics, decryption assessment, recovery, and hardening. Covers negotiations, backups, regulations. For ransomware attacks.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:performing-ransomware-responseThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
- 检测到勒索软件正在执行或文件加密正在进行中
不适用场景:不涉及文件加密或勒索的普通恶意软件事件;此类情况应使用恶意软件事件响应程序。
验证事件为勒索软件并确定变体:
勒索软件识别:
━━━━━━━━━━━━━━━━━━━━━━━━━
变体: LockBit 3.0 (Black)
扩展名: .lockbit3
勒索信: README-LOCKBIT.txt
Tor 站点: lockbit[已编辑].onion
部署方式: 通过 GPO 将 ransomware.exe 推送至所有域成员系统
初始访问: VPN 凭据攻陷(无 MFA)
驻留时间: 12 天
数据外泄: 是 - 加密前通过 rclone 上传 47GB 至 MEGA
在评估损害前停止勒索软件传播:
量化影响以支持恢复和业务决策:
影响评估:
加密系统: 187/340 端点(55%)
加密服务器: 12/28(43%)- 含 2 台文件服务器、1 台数据库服务器
域控制器: 3 台中 2 台已加密
备份状态: Veeam 存储库完整(离线副本已验证干净)
数据外泄: 已确认 - 47GB 已传至 MEGA(文件清单分析中)
赎金要求: 250 万美元比特币(72 小时截止)
OFAC 筛查: LockBit - 目前非受制裁实体(请与法律顾问核实)
与法律、高管层和网络保险协商评估恢复选项:
| 选项 | 优点 | 缺点 | 建议场景 |
|---|---|---|---|
| 从备份恢复 | 无需支付、无法律风险 | 恢复时间可能需要数天 | 可用干净备份时 |
| 免费解密器 | 无需支付、速度快 | 极少见 | 变体有已发布的解密器时 |
| 谈判并支付 | 可能更快 | 无保证、法律风险、资助威胁行为者 | 无备份、业务生死存亡时 |
| 从头重建 | 干净环境 | 时间最长、数据丢失 | 备份受损、可接受数据丢失时 |
实施所选恢复策略:
从备份恢复时:
使用解密器时:
实施控制措施防止再次发生:
| 术语 | 定义 |
|---|---|
| 双重勒索(Double Extortion) | 结合文件加密与数据外泄并威胁公开被盗数据的勒索软件策略 |
| 不可变备份(Immutable Backup) | 在规定保留期内无法修改或删除的备份存储,防止勒索软件针对备份 |
| OFAC 制裁 | 美国外国资产控制办公室的限制,可能禁止向受制裁实体或司法管辖区支付赎金 |
| 驻留时间(Dwell Time) | 攻击者在部署勒索软件前的存在天数;是确定哪些备份干净的关键依据 |
| 勒索软件即服务(RaaS) | 勒索软件开发者将恶意软件租赁给执行攻击的附属者的犯罪商业模式 |
| Rclone | 勒索软件运营者在加密前常用于数据外泄的合法云同步工具 |
| 3-2-1-1-0 备份规则 | 要求 3 份副本、2 种介质、1 份异地、1 份不可变/气隔离、0 个恢复测试错误的备份策略 |
背景:攻击者攻陷 VPN 凭据(无 MFA),用了 12 天进行侦察,通过 GPO 禁用防病毒软件,外泄了 47GB 数据,并在周日凌晨 2:00 通过 GPO 在整个域内部署了 LockBit 3.0。
方法:
注意事项:
勒索软件事件报告
===========================
事件: INC-2025-1892
勒索软件家族: LockBit 3.0 (Black)
检测时间: 2025-11-17T06:45:00Z
初始访问: VPN 凭据攻陷(无 MFA)
驻留时间: 12 天
影响摘要
加密系统: 187 个端点、12 台服务器
业务影响: 运营完全中断
外泄数据: 47GB(财务、HR、法律文件)
赎金要求: 250 万美元 BTC(72 小时截止)
备份状态: Veeam 不可变存储库 - 干净
恢复方案
决策: 从备份恢复(不支付赎金)
恢复开始: 2025-11-17T10:00:00Z
DC 重建: 完成 - 2025-11-17T18:00:00Z
关键系统: 已恢复 - 2025-11-18T12:00:00Z
完全恢复: 预计 2025-11-21
遏制时间线
06:45 UTC - SOC 分析员检测到勒索软件
07:00 UTC - 网络段已断开
07:15 UTC - 事件指挥官启动 IR 计划
07:30 UTC - 备份完整性验证开始
08:00 UTC - 对 2 台运行中系统启动内存取证
10:00 UTC - 在隔离环境中开始恢复操作
事后行动
1. 在所有 VPN 和远程访问上强制执行 MFA
2. 实施 3-2-1-1-0 备份架构
3. 工作站/服务器 VLAN 之间的网络分段
4. 为本地管理员密码部署 LAPS
5. 提交法规通知(GDPR 72 小时、州检察长)
npx claudepluginhub killvxk/cybersecurity-skills-zhExecutes structured ransomware incident response from detection through containment, forensics, decryption, recovery, and hardening. For ransomware attacks with encryption and extortion.
Guides structured ransomware incident response from detection through containment, forensics, decryption assessment, recovery, and post-incident hardening, including ransom negotiation and regulatory notification.
Guides structured ransomware incident response from detection through containment, forensics, decryption assessment, recovery, and post-incident hardening, including ransom negotiation and regulatory notification.